Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Thêm
Cách nhà giao dịch tiền điện tử mất 50 triệu USDT: bài học về tấn công qua địa chỉ
Tháng 12, một nhà giao dịch tiền mã hóa đã đối mặt với một trong những mất mát lớn nhất trong sự nghiệp — gần 50 triệu đô la Mỹ biến mất chỉ trong một giao dịch. Đó không phải là kết quả của một cuộc hack phức tạp hay khai thác lỗ hổng trong hợp đồng thông minh, mà là một thủ đoạn tinh vi sử dụng chính thói quen tiêu chuẩn của người dùng và các giới hạn tối thiểu của giao diện ví.
Nguyên nhân của cuộc tấn công: thử nghiệm như khởi đầu chuỗi sự kiện
Câu chuyện bắt đầu khá bình thường: nhà giao dịch cố gắng chuyển tiền từ sàn sang ví cá nhân để đảm bảo an toàn. Ban đầu, anh ta thực hiện một giao dịch thử với số tiền 50 USDT để kiểm tra các thiết lập. Thói quen cẩn trọng này thực ra lại trở thành điểm khởi đầu cho kẻ tấn công.
Nhà nghiên cứu on-chain Specter mô tả quá trình tiếp theo: ngay khi phát hiện ra địa chỉ gửi đi, kẻ xấu bắt đầu hành động với độ chính xác toán học. Hắn lập tức tạo ra một địa chỉ mới, trùng với bốn ký tự đầu và bốn ký tự cuối của ví hợp lệ. Nhìn thoáng qua, đó là đúng địa chỉ đó.
Tại sao việc sao chép địa chỉ theo tiêu chuẩn lại trở thành điểm yếu
Hầu hết các trình duyệt blockchain và ví hiện đại đều rút ngắn các địa chỉ dài để tiện lợi, chỉ hiển thị phần đầu và phần cuối, cách nhau bằng ba dấu chấm (ví dụ: 0xBAF4…F8B5). Điều này có nghĩa là địa chỉ giả mạo trông hoàn toàn giống địa chỉ thật trên màn hình người dùng.
Chính sau khi kẻ xấu gửi một số nhỏ tiền từ địa chỉ giả đến nạn nhân, hắn đã “gây nhiễm” lịch sử giao dịch của ví đó. Khi nhà giao dịch quyết định hoàn tất chuyển phần còn lại — 49.999.950 USDT — anh ta đã làm theo thói quen phổ biến: sao chép địa chỉ người nhận từ lịch sử các giao dịch gần đây. Đúng, thuận tiện, tự nhiên. Và hoàn toàn nguy hiểm trong bối cảnh này.
Con đường của số tiền độc hại: từ stablecoin đến ẩn danh
Chỉ trong 30 phút sau cuộc tấn công thành công, quá trình “rửa tiền” diễn ra mạnh mẽ. Gần 50 triệu USDT đã được đổi sang một số stablecoin khác như DAI. Sau đó, phần lớn số này được chuyển đổi thành khoảng 16,690 ETH. Giao dịch cuối cùng gửi các tài sản này qua Tornado Cash — một dịch vụ trộn giúp đảm bảo tính ẩn danh trên blockchain.
Đối với nhà giao dịch bị hại, đây là thảm họa. Hiểu rõ chuyện gì đã xảy ra, anh ta đã gửi tin nhắn on-chain cho kẻ lừa đảo, đề nghị 1 triệu đô la Mỹ như một phần thưởng “trắng” để trả lại 98% số tiền bị đánh cắp. Đến ngày hôm sau, các tài sản này vẫn còn trong tay kẻ xấu.
Đánh giá của chuyên gia: đơn giản là yếu tố quan trọng nhất của cuộc tấn công
Trong bình luận của mình, Specter bày tỏ sự thất vọng về độ đơn giản mà cuộc tấn công đã diễn ra. “Chính vì vậy tôi không còn lời nào, vì một số tiền lớn như vậy đã bị mất chỉ vì một sai lầm của con người. Tất cả đều có thể tránh được nếu chỉ trong vài giây sao chép và dán địa chỉ từ nguồn chính xác, chứ không lấy từ lịch sử,” nhà nghiên cứu nói với ZachXBT.
Nhận định này chỉ ra một vấn đề cực kỳ nghiêm trọng trong an ninh crypto: những cuộc tấn công hiệu quả nhất thường không dựa vào lỗ hổng công nghệ, mà là vào điểm yếu tâm lý con người và thiết kế giao diện người dùng.
Làm thế nào nhà giao dịch tiền mã hóa có thể tự bảo vệ khỏi các thủ đoạn tương tự
Các chuyên gia an ninh đề xuất một số biện pháp thực tế cho tất cả những ai làm việc với tiền mã hóa:
Luôn sao chép địa chỉ từ nguồn chính thức: thay vì lấy từ lịch sử giao dịch, hãy lấy địa chỉ trực tiếp từ tab “Nhận” trong ví của bạn. Đây là cách an toàn nhất.
Sử dụng danh sách trắng các địa chỉ tin cậy: hầu hết các ví hiện đại đều hỗ trợ chức năng thêm các địa chỉ đáng tin cậy vào danh sách. Điều này giúp tránh sai sót khi nhập thủ công và có cơ chế kiểm tra xác thực.
Xem xét dùng ví phần cứng: các thiết bị yêu cầu xác nhận vật lý toàn bộ địa chỉ người nhận trước khi ký giao dịch, cung cấp một lớp bảo vệ bổ sung. Chúng buộc người dùng phải xem toàn bộ địa chỉ trước khi phê duyệt cuối cùng.
Thực hiện giao dịch thử với số tiền nhỏ trước khi gửi số lớn: luôn gửi một phần nhỏ để kiểm tra địa chỉ có chính xác không. Tuy nhiên, cần nhớ rằng sau khi nhận được giao dịch đầu tiên, lịch sử có thể bị “gây nhiễm”.
Nhà giao dịch cần hiểu rằng, trong thế giới nơi một sai lầm có thể mất hàng chục triệu đô la, sự cẩn trọng tối thiểu cũng có thể cứu vớt vốn. Câu chuyện của nhà giao dịch này là một lời nhắc nhở nghiêm khắc rằng an ninh trong crypto không chỉ dựa vào các giải pháp kỹ thuật phức tạp, mà còn dựa trên việc tuân thủ nhất quán các quy tắc đơn giản.